Bureau mobile

Lorsque vous utilisez les ressources du EDSC pour travailler dans un établissement public tel qu'une chambre d'hôtel ou un café.

  •   Équipement
    • Veillez à ce que tout équipement sous votre contrôle soit stocké en toute sécurité à tout moment.
    • Ne laissez jamais vos appareils sans surveillance dans les lieux publics ou à proximité.
    • Ne permettez pas à d'autres personnes non autorisées d'utiliser vos appareils de travail.
    • N'utilisez jamais d'applications Web non approuvées (par exemple DeepL, Google Translate) pour traiter des informations sensibles.
  •   Divulgation non autorisée
    • Protégez les informations des personnes qui se trouvent dans votre zone de travail (par exemple, le personnel de l'établissement comme le concierge, le partenaire/conjoint, les enfants, les réparateurs, les clients, etc.)
    • Évitez les compromis accidentels en suivant toutes les procédures ci-dessus pour les informations sensibles et en gardant un bureau bien organisé.
    • Ne laissez pas d'informations sans surveillance
    • Si possible, choisissez une pièce fermée, verrouillable et désignée pour effectuer les activités liées au travail.
    • Ne partagez pas vos mots de passe/crédits.
  •   Surf des épaules

    L'espionnage par-dessus l'épaule est le fait de regarder par-dessus l'épaule de quelqu'un, à courte ou longue distance, avec une intention curieuse ou malveillante.

    Si vous travaillez avec des informations sensibles sur des Canadiens ou des informations ministérielles secrètes, vous devez faire attention à la manière dont vous sécurisez ces informations.

    • Ne placez pas votre écran d'ordinateur en face d'une fenêtre.
    • Évitez de laisser votre espace de travail sans surveillance ou votre appareil non verrouillé.
    • Réduisez les fenêtres sur votre écran si quelqu'un s'approche.
    • Utilisez une protection d'écran si vous en avez une
    • Masquez votre clavier lorsque vous tapez vos mots de passe

    Faire référence à Vous faites du télétravail? Attention aux curieux! pour plus d'informations.

  •   Vidéoconférence sécurisée
    • Si votre équipe doit organiser une réunion virtuelle, veillez à utiliser l'un des 4 logiciels de vidéoconférence approuvés par le ministère (Skype, WebEx, Virtual Meeting Room ou Microsoft Teams).
    • L'utilisation d'un casque ou d'écouteurs est fortement encouragée et est obligatoire lorsqu'on est entouré d'inconnus (comme dans un café).
    • N'oubliez pas de limiter le partage d'informations sensibles aux personnes qui ont besoin de savoir (qui n'accèdent qu'aux informations relatives aux dossiers qui leur sont confiés) et qui possèdent l'habilitation de sécurité requise.
    • Une réunion au cours de laquelle des informations sensibles sont discutées ne doit pas être enregistrée.
    • Les informations sensibles ne doivent pas être ajoutées à une fonction de de conversation ou sauvegardées dans un système de vidéoconférence.
    • Soyez toujours attentif aux personnes qui vous entourent et qui pourraient vous écouter, et limitez autant que possible les informations sensibles.
    • Éteignez et/ou déconnectez Google Home, Amazon Alexa et/ou d'autres assistants virtuels à portée de voix pour éviter que ces appareils n'enregistrent des informations sensibles.
    • Les discussions portant sur des informations jusqu'au niveau protégées B avec des clients, des entrepreneurs ou des partenaires externes, si vous utilisez Microsoft Teams, doivent tenir compte de certaines considérations.
    • Veiller à ce que les clients, entrepreneurs ou partenaires externes disposent de l'habilitation de sécurité requise (ou d'un niveau équivalent) pour pouvoir discuter des informations protégées B de l'EDSC.
    • Mentionnez au début de la discussion que des informations protégées seront discutées et qu'à ce titre, des précautions appropriées doivent être prises (port d'écouteurs ou de casques, attention à toute personne dans l'entourage qui pourrait écouter, et réduction au minimum des informations sensibles).
  •   Les meilleures pratiques en matière de télétravail

    Maintenir les pratiques de sécurité lors de l'utilisation d'équipements informatiques, de réseaux et de systèmes départementaux pour le travail à distance ou le télétravail :

    • Utiliser uniquement les systèmes de connectivité attribués par le EDSC (AppGate, VPN) lorsque vous travaillez sur/avec des informations protégées.
    • Utiliser uniquement les services de collaboration pour les documents sensibles approuvés par le ministère pour les informations de niveau Protégé C ou supérieur.
    • Protéger tous les équipements et systèmes informatiques contre les virus : en particulier, ne pas utiliser ni permettre l'installation ou l'utilisation de matériel et/ou de logiciels non autorisés sur ces systèmes.
    • Ne pas connecter ou permettre à des appareils portables/personnels non approuvés ou non autorisés d'accéder aux équipements informatiques fournis par le département.
    • restituer immédiatement tout le matériel, l'équipement et/ou les informations à la demande du régime de télétravail
  •   Travailler avec des informations protégées a ou b

    Dans la mesure du possible, dans un environnement familial, suivez les directives de l'outil de catégorisation de l'information.

    Il est fortement recommandé de travailler avec des informations protégées B par voie électronique plutôt qu'avec des documents papier afin de réduire les risques de perte, de vol ou de divulgation non autorisée.

    • Stockage des documents papier protégés B
      • Des armoires verrouillables doivent être utilisées pour stocker en toute sécurité les informations protégées sur papier.
      • Si, dans le cadre de vos fonctions essentielles, vous êtes tenu d'apporter des informations protégées sur papier sur votre lieu de travail mobile, vous devez en parler à votre supérieur hiérarchique afin de trouver un moyen d'atténuer le risque.
    • Transport de documents protégés depuis et vers votre site distant :
      • Si vous devez transporter physiquement des informations protégées B sur votre lieu de travail mobile, vous devrez obtenir l'autorisation préalable de votre responsable.
      • Transporter toutes les informations protégées B dans un dossier bleu protégé et dans une mallette sécurisée, une pochette verrouillée par la GRC ou un sac à dos, conformément à l'outil de catégorisation des informations du EDSC.
      • Il n'est pas permis de laisser des informations protégées A ou B sans surveillance sur votre lieu de télétravail, y compris à l'intérieur d'un véhicule verrouillé. Par conséquent, si vous vous arrêtez dans un lieu public avant d'arriver au lieu de télétravail, vous devez garder votre porte-documents/sac à dos/sacoche sur vous à tout moment.
      • Créez et conservez un inventaire séparé des informations protégées B qui sont transportées ; cela aidera à identifier les personnes concernées pour les processus de violation de la vie privée et les rapports en cas de vol ou de perte.
    • Autres mesures de sécurité lors du travail avec des informations protégées A ou B
      • Ne faites pas de captures d'écran ou de photos des informations personnelles affichées sur votre écran.
      • Veillez à ce que toute activité liée au travail soit menée de manière à empêcher les personnes non autorisées de voir ou d'entendre des informations protégées.
      • Utilisez un casque ou le téléphone portable lui-même, et non le haut-parleur, lorsque vous discutez avec un collègue.
      • Fermez les stores et/ou orientez le moniteur loin des fenêtres ou des portes vitrées pour vous assurer que votre moniteur n'est pas dans le champ de vision de quelqu'un.
      • Ne discutez pas d'informations personnelles dans des endroits publics ou perçus comme privés (par exemple, sur le balcon ou près d'une fenêtre ouverte de votre maison, dans votre cuisine pendant que des invités vous rendent visite).
      • Éteignez et/ou déconnectez Google Home, Amazon Alexa et/ou d'autres assistants virtuels pour empêcher les appareils d'enregistrer vos conversations liées au travail.
    • Envoi d'informations protégées B
      • Les employés ne sont pas autorisés à envoyer des informations protégées A ou B à leur adresse électronique personnelle dans le but de travailler hors ligne ;
      • Lorsque vous envoyez des informations protégées par courrier électronique, vérifiez toujours le(s) destinataire(s) auquel(s) vous envoyez les informations et n'oubliez pas de crypter votre message si vous l'envoyez en dehors du département ;
    • Lors d'un envoi à un destinataire interne (au sein de l'EDSC) :
      • Les informations protégées B peuvent être envoyées à l'aide d'Outlook après s'être assuré que le destinataire est un employé de l'EDSC disposant d'une habilitation de sécurité de fiabilité valide ;
      • Vérifiez toujours que vous envoyez les informations à l'adresse électronique correcte ;
      • Même lorsque vous envoyez des informations protégées en interne, il est toujours préférable de crypter votre courrier électronique, si possible.
    • Lors d'un envoi à un destinataire de courriel externe (hors EDSC) (En vigueur le 9 février 2021) :
      • Utilisez Entrust pour chiffrer les courriels qui contiennent des renseignements Protégé B et qui sont envoyés à l'extérieur du pare-feu du ministère. Le destinataire doit également utiliser Entrust pour décrypter les courriels reçus.
      • Vérifiez toujours que vous envoyez les informations à l'adresse électronique correcte et que le destinataire possède l'habilitation de sécurité requise.
      • Si l'envoi de courrier électronique avec cryptage n'est pas possible :
        • Transférez toutes les informations Protégé B dans un document protégé par un mot de passe. (Les informations protégées B envoyées à l'extérieur ne peuvent pas se trouver dans le corps d'un e-mail, elles doivent toujours être dans un document protégé par un mot de passe). Par exemple, si vous essayez d'envoyer un PDF par e-mail, vous pouvez copier et coller le PDF dans un document Microsoft Word, puis protéger le document Microsoft Word par un mot de passe.
        • Vérifiez l'adresse e-mail et envoyez le mot de passe au destinataire dans un e-mail séparé ou par téléphone.
        • Envoyez le document protégé par un mot de passe au destinataire.
        • Si vous envoyez régulièrement à l'extérieur un volume important d'informations protégées B, vous pouvez envisager d'utiliser la poste électronique (vous trouverez des informations sur la poste électronique comme autre option dans l'outil de catégorisation des informations).
  •   Travailler avec des informations très sensibles
    • Vous n'êtes généralement pas autorisé à travailler avec des informations très sensibles dans un environnement de travail mobile.
    • Pour apporter ou conserver des documents papier de nature très délicate (Protégé C, Confidentiel ou Secret) dans votre lieu de travail éloigné, vous devez obtenir l'approbation de votre sous-ministre adjoint et du chef de la sécurité.
  •   Le télétravail et le travail à distance à l'étranger

    Les employés doivent savoir que le télétravail à l'étranger est restreint par l'EDSC. Tout employé travaillant à l'extérieur du Canada doit avoir un accord de télétravail à l'étranger (ATE) valide. L'approbation du niveau ADM et la consultation de la Sécurité, des Relations de travail et de la Santé et sécurité au travail doivent être faites avant de quitter le Canada. Le processus doit être initié le plus tôt possible, et nécessite un minimum de dix jours ouvrables.

    Faire référence à Demandes de télétravail à l'étranger – Procédures pour plus d'informations.

  •   Le signalement des incidents de sécurité

    Toute perte ou tout vol d'informations protégées en format papier ou de biens ministériels de valeur (par exemple, téléphone, ordinateur portable, tablette) ou toute divulgation non autorisée d'informations protégées doit être signalée immédiatement à votre responsable, conformément aux procédures de signalement des incidents de sécurité.

    Remarque : le signalement des incidents de sécurité est un processus visant à surveiller, évaluer les tendances et mettre en œuvre des mesures d'atténuation, et non à punir les employés. L'objectif de la sécurité est de trouver des moyens d'améliorer nos processus la prochaine fois. En fait, ne pas signaler un incident de sécurité va à l'encontre de l'objectif du ministère de maintenir une forte culture de la sécurité.